「Bagle-KL」を添付したメールの一例(<a href="http://www.sophos.com/pressoffice/news/articles/2006/06/baglekl.html" target=_blank>英Sophosの発表資料</a>から引用)
「Bagle-KL」を添付したメールの一例(<a href="http://www.sophos.com/pressoffice/news/articles/2006/06/baglekl.html" target=_blank>英Sophosの発表資料</a>から引用)
[画像のクリックで拡大表示]

 セキュリティ・ベンダーの英Sophosは現地時間6月20日,メールで感染を広げるウイルス「Bagle-KL」を確認したとして注意を呼びかけた。同ウイルスは,パスワード保護されたZIPファイルとして送られてくる。パスワードは,画像としてメール本文に埋め込む。これにより,ゲートウエイでのウイルス・チェックを難しくするという。

 Bagle-KLは,2004年以降続々と変種(亜種)が出現している「Bagle」ウイルスの一種。自分のコピーをパスワード保護されたZIPファイルやRARファイルにして,対策ソフトを回避しようとするウイルスは以前から多数存在する。しかし,それらのウイルスのほとんどは,パスワードをテキストとしてメールの本文中に含める。このため対策ソフトの中には,本文からパスワードを抜き出して,ZIPファイルなどの中身をチェックするものがある。

 そこでBagle-KLでは,この方法ではチェックできないように,パスワードを画像にしてメールの本文中に埋め込む。実際には,画像ファイルとしてウイルス・ファイルとともにメールに添付する。ただし,この手法を使うのはBagle-KLが初めてではない。2004年3月に出現した「Bagle.N」なども同じ手法を用いる(関連記事:Bagleワームの亜種「Bagle.N」を警告)。

 ユーザーがこのZIPファイルを展開すると,実行形式ファイルのBagle-KLが生成される。実行されたBagle-KLは,そのパソコンからメール・アドレスを収集し,そのアドレスあてに自分のコピーをパスワード保護したZIPファイルにして送信する。パスワードは,ZIPファイルごとにランダムに生成し,前述のように画像ファイルとして添付する。

 また,パソコン上で動作しているセキュリティ・ソフトを停止させようとしたり,特定のWebサイトから別の悪質なプログラムをダウンロードして実行させようとしたりする。

 現在では,パスワード保護されたZIPファイルなどを使って,ゲートウエイでのチェックを回避しようとするのはウイルスの常套手段の一つ。ZIPファイル中のウイルスはそのままでは動作しないので,ユーザーとしては,覚えのないファイルは開かないことが第一。

 また,ZIPファイルのままではチェックできなくても,展開した後ならウイルス対策ソフトでチェックできる。このため,ゲートウエイだけではなく,クライアントにおいてもウイルス対策をきちんと実施することが重要だ。

 企業や組織としては,「パスワード保護されたZIPファイルは,ゲートウエイではじくようにする」「パスワード保護されたZIPファイルはメールで送らないようにする」ことを検討してもよいだろう。

◎参考資料
Bagle-KL email worm spreading via encrypted Zip file